上一页|下一页

加密

简介

SAS Visual Analytics 使用平台级别功能来加密传输过程中以及磁盘上的敏感数据。请参见 SAS Intelligence Platform: Security Administration Guide 中的 Encryption Model
该主题帮助您初步了解对 SAS Visual Analytics 写入到磁盘的数据进行的 AES 加密。

启动时重新加载文件的磁盘加密

概览

要在启动时重新加载后备存储库中增强数据保护,请将后备存储库绑定到元数据,并对相应的受保护逻辑库启用加密。
警告:
将物理数据绑定到元数据是一项高级技术。
在配置加密之前,请参见 SAS Guide to Metadata-Bound Libraries 中的 Overview of Metadata-Bound Libraries,并检查以下关键点。

关键点

  • 对 In-memory 数据的访问不受相应后备存储库文件的加密的影响。对加密的后备存储库文件的读取或写入不像对未加密后备存储库文件那样快速。
  • 每个元数据绑定的后备存储库在元数据中均表示两次:
    • 一种表示是传统逻辑库,作为特定 LASR 逻辑库的后备存储库进行分配。
    • 另一种表示是受保护的逻辑库,物理后备存储库绑定到该逻辑库。
    要从加密的后备存储库进行读取或向其写入,您必须对传统逻辑库和受保护的逻辑库具有足够的元数据层权限。
  • 密码短语(加密密钥值)和密码不会延用。初次导入受保护的逻辑库之后,必须在目标环境中重新应用密码短语和密码(或多个密码)。请参见 SAS Intelligence Platform: System Administration Guide 中的 Promoting Secured Data Folders, Secured Library Objects, and Secured Table Objects
  • 要使用 AES,SAS/SECURE 必须已安装并且可用。请参见 Encryption in SAS 中的 SAS/SECURE

加密后备存储库逻辑库

  1. 为支持启动时重新加载并将包含敏感数据的 LASR 逻辑库标识或创建后备存储库。请参见如何启用启动时重新加载
    注: 后备存储库是在元数据中注册并且分配给 LASR 逻辑库作为其数据提供程序逻辑库的主机目录。
  2. 以具有以下权限的用户身份登录到 SAS Management Console
    • 目标目录的主机层控制:
      • 在 Windows 上,您必须对该目录具有完全控制权。
      • 在 UNIX 上,您必须是该目录的所有者。
    • 受保护逻辑库文件夹的元数据层访问权限。SAS 管理员组通常具有必需的访问权限。
  3. 文件夹选项卡上,导航到系统然后选择受保护的逻辑库,右击并选择新建然后选择受保护的逻辑库
    注: 作为备选方法,可以首先创建受保护的逻辑库文件夹,然后在该文件夹中创建新的受保护的逻辑库。若要创建多个受保护的逻辑库,则更加高效的做法通常是创建一个或多个文件夹,以便每个受保护的逻辑库从其父文件夹继承有效的权限。每个受保护的表从其受保护的父逻辑库继承有效权限。请参见 Object Creation, Location, and Inheritance
  4. 常规页面上,输入名称和说明。点击下一步
  5. 连接数据页面上,提供如下信息:
    1. 选择 SAS Application Server。对于逻辑库路径,点击浏览,然后选择目标目录。
    2. 输入并确认逻辑库密码。
      警告:
      若逻辑库密码丢失,则无法取消绑定或修改逻辑库。
      记下您输入的一个或多个密码。
      注: 密码必须为有效的 SAS 名称。(必须以字母或下划线开头,可以包含字母、下划线和数字,并且不区分大小写。其长度不能超过 8 个字符。)若您需要创建更长的复合密码,请选中指定多个密码复选框,并指定多个密码。
    3. 选中需要加密复选框及其对应的单选按钮。通过此设置,将对以下文件加密:
      • 目录中已存在的任何未加密的表。
      • 后来在参与启动时重新加载的导入过程中添加到目录的表。
      • 后来通过 SAS 代码直接添加到目录的表。(请勿使用主机复制实用程序将表添加到目录。)
    4. 选中加密类型复选框及其对应的 AES 单选按钮。
    5. 将第一个加密密钥字段留空。您为空目录或仅包含未加密文件的目录创建受保护的逻辑库时,该字段不适用。
      新加密密钥确认加密密钥字段中输入值。下面是一些详细信息:
      • 记下您输入的值。
      • 您输入的值将作为密码短语,用于创建 AES 通过其加密目标表的实际密钥。
      • 在保存时,您输入的值会自动包含在引号中,因此值区分大小写。(请勿在输入值时包含引号。)有关详细信息,请参见 SAS Data Set Options: Reference 中的 ENCRYPTKEY=
    6. 点击完成。系统出现提示时,点击查看日志。
  6. 查看和调整对新的受保护逻辑库的元数据层访问。
    1. 右击新的受保护逻辑库,然后选择属性
      注: 若在文件夹级别管理权限,请右击相应的受保护逻辑库文件夹。
    2. 授权选项卡上,使用以下技术之一:
      • 将所有权限授予一个广泛的组,例如 PUBLIC、SASUSERS 或 Visual Analytics 用户。这一简单方法仅使用受保护逻辑库提供磁盘上的加密。
      • 通过更有选择性的受限制方式授予权限。这一高级方法使用受保护的逻辑库提供授权约束的增强实施,以及磁盘加密。请参见 Permissions for Metadata-Bound Data。下面是一些示例:
        • 要导入参与启动时重新加载的表,用户必须具有相应受保护逻辑库对象的“创建表”权限。
          注: 若元数据绑定的后备存储库中已存在名称相同的表,则用户必须还具有相应受保护表对象的“更改表”权限。
        • 要重新加载表(使用启动时重新加载),触发 SAS LASR Analytic Server 启动的用户必须具有相应受保护表对象的“读取元数据”和“选择”权限。
  7. 要验证结果,请执行下列操作:
    • 在数据生成器、探索器或设计器中,导入参与的表。例如,将本地文件导入特定 LASR 逻辑库(支持在启动时从 AES 加密的后备存储库重新加载)。
    • 在管理器中,停止然后重新启动与相应 LASR 逻辑库(支持在启动时从 AES 加密的后备存储库重新加载)关联的 SAS LASR Analytic Server。
    • 在 SAS 代码中,对后背存储库逻辑库运行 CONTENTS 过程。该过程输出指示表是否经过加密。
    • 有关进一步验证,请参见 Validating a Metadata-Bound Library

其他信息

该主题旨在帮助您初步了解。关于备用方法和相关任务,请参见 SAS Guide to Metadata-Bound Libraries 中的 Implementation of Metadata-Bound Libraries 一章。
例如:

SASHDAT 文件的磁盘加密

概览

要增强对 SASHDAT 文件的保护,请为使用 SASHDAT 引擎的逻辑库启用磁盘上 AES 加密。
警告:
加密 SASHDAT 文件会大大影响数据可用性和内存使用。
在配置加密之前,请查看以下表段。

关键点

  • 对 In-Memory 数据的访问不受对相应 SASHDAT 文件加密的影响。对加密的 SASHDAT 文件的读取或写入不像对未加密的 SASHDAT 文件那样快速。
  • 加密的 SASHDAT 文件仅适用于由 SAS LASR Authorization Service(也称为 signer)授权的请求。对于授权的请求,授权服务会从元数据检索加密密码短语,并将其提供给 SASHDAT 引擎。这样,SASHDAT 引擎可以根据需要对数据进行加密和取消加密。以下是相关要求:
    • 关联数据服务器的连接对象必须启用授权服务。对于 SAS Visual Analytics,SASHDAT 文件的加密始终由签字程序管理。
    • 在加密的 SASHDAT 逻辑库中,添加、删除或加载关联数据的用户必须具有读取权限。
    • 在一个环境中,每个 Hadoop 服务器必须具有唯一的主机名。在一个 Hadoop 服务器中,每个 SASHDAT 逻辑库必须具有唯一的主机路径。
  • 加密的 SASHDAT 文件在加载时始终使用未映射的内存。内存映射不适用于从加密的 SASHDAT 文件加载的 LASR 表。
  • 加密的 SASHDAT 文件在加载时始终不进行压缩。
    注: 您可以压缩加密的 SASHDAT 文件来节省磁盘空间。不过,压缩加密的 SASHDAT 文件并不会节省内存。在加载加密的文件之前,必须对其进行解密,而解密需要解压缩数据。
  • 您对 SASHDAT 加密设置的更改不会影响现有 SASHDAT 文件。
  • 若要集中化 SASHDAT 加密配置,请在服务器级别指定加密设置,并配置各个关联的逻辑库以继承其设置。
  • 密码短语(加密密钥值)不会延用。初次导入加密的 SASHDAT 逻辑库或服务器之后,您必须使用 SAS Management Console 在目标环境中重新应用密码短语。
    注: 若源和目标环境引用相同的物理数据实例,则您不必复制和替换该数据(因为数据保持加密状态)。
  • 要加密 SASHDAT 文件,必须满足以下要求:
    • SAS TKGrid Encryption Extension 必须已安装并且可用。请参见SAS High-Performance Analytics Infrastructure: Installation and Configuration Guide
    • 要使用 AES,SAS/SECURE 必须已安装并且可用。请参见 Encryption in SAS 中的 SAS/SECURE

保护加密设置

要保护 SASHDAT 加密设置,请将写入元数据访问权限限于 SASHDAT 逻辑库。
限制写入元数据访问权限是必要的,因为对加密的 SASHDAT 逻辑库具有写入元数据访问权限的任何用户都可以修改其 VA.Encryption.Enabled 扩展属性。该属性专供内部使用。任何用户都不应直接设置、修改或删除 VA.Encryption.Enabled 属性;但不受限制的用户可以按如下所示通过逻辑库的选项选项卡管理设置。
注: 限制写入元数据访问权限会带来不利影响。缺乏对逻辑库的写入元数据访问权限的用户不能在该逻辑库中注册表或从该逻辑库中删除表。
例如,要获得最大保护,您可在加密的 SASHDAT 逻辑库的授权选项卡上为 PUBLIC 组明确拒绝写入元数据。通过该设置,只有不受限制的用户具有对逻辑库的写入元数据访问权限。为该逻辑库添加或删除 SASHDAT 表元数据的操作必须由不受限制的用户执行。

加密 SASHDAT 逻辑库

  1. 标识引用空目标目录的 SASHDAT 逻辑库。
    注: 这些说明用于现有 SASHDAT 逻辑库。要创建使用 SASHDAT 引擎的新逻辑库,请参见 SAS Intelligence Platform: Data Administration Guide
  2. 以不受限制的用户身份(例如 sasadm@saspw)登录 SAS Management Console
  3. 在该逻辑库上,设置加密选项并调整元数据层权限。
    1. 插件选项卡上,展开数据逻辑库管理器节点,然后展开逻辑库节点。右击该目标逻辑库,然后选择属性
    2. 选项选项卡上,进行以下更改:
      1. 启用加密字段中,选择单选按钮。
        提示
        要改为使逻辑库从其关联的数据服务器继承加密设置,请选择从服务器继承单选按钮。然后,确认已在数据服务器的选项选项卡上启用加密。继承的设置是动态的。服务器级别的更改会影响所有配置为继承服务器级别设置的关联逻辑库。
      2. 新加密密钥确认加密密钥字段中输入值。
        警告:
        若丢失密码短语,则对加密数据的所有访问权限将不可避免地丢失。
        请记下您输入的密码短语。
        下面是一些详细信息:
        • 您输入的值将作为密码短语,用于创建 AES 通过其加密目标表的实际密钥。
        • 在保存时,您输入的值会自动包含在引号中,因此值区分大小写。(请勿在输入值时包含引号。)有关详细信息,请参见 SAS Data Set Options: Reference 中的 ENCRYPTKEY=
    3. 授权选项卡上,为向加密逻辑库添加数据、从加密逻辑库加载数据或从加密逻辑库删除数据的用户授予读取权限。在大多数情况下,为以下组授予读取权限就已足够:
      • Visual Analytics 数据管理员
      • Visual Data Builder 管理员
      注: 对于未加密的 SASHDAT 逻辑库,不会要求或强制使用读取权限。
      注: 您可以在父级文件夹而不是直接在逻辑库上授予读取权限。
    4. 授权选项卡上,确保限制写入元数据访问权限。请参见保护加密设置
    5. 点击确定
  4. 在关联服务器的连接对象上,启用 LASR 授权服务。
    警告:
    若未启用 LASR 授权服务,则不会加密添加的表且加密的表将不可用。
    1. 插件选项卡上,展开服务器管理器,然后选择目标数据服务器。
    2. 在右窗格中,右击服务器的连接对象,然后选择属性
    3. 选项选项卡上,确保已选中使用 LASR 授权服务复选框。
  5. 要验证结果,请执行下列操作:
    • 将表添加到 SASHDAT 逻辑库。
    • 将 SASHDAT 逻辑库中的表加载到 SAS LASR Analytic Server。
    • 对于并置 HDFS 中的 SASHDAT 文件,请检查管理器的 HDFS 选项卡上每个表的加密属性。请参见关于“HDFS”选项卡
    • 在 SAS 代码中,对 SASHDAT 逻辑库运行 CONTENTS 过程。该过程输出指示表是否经过加密。

其他信息

要更新密码短语,请执行下列操作:
  1. 若目标目录当前包含表,则将这些表移至备用位置。
    提示
    一种方法是将现有表加载到内存,然后删除物理表和相应的元数据定义。
    警告:
    若删除表元数据,则必须手动修复或重新创建任何受影响的对象(例如显式和行级别权限)。
  2. 以不受限制的用户身份(例如 sasadm@saspw)登录 SAS Management Console在相应的服务器或逻辑库上,在新加密密钥确认加密密钥字段中输入新值。
  3. 若在第 1 步中移动了表,则将它们移回目标目录。将表写回目标目录时,将使用新加密密钥(通过更新的密码短语生成)对它们进行加密。
    提示
    若在步骤 1 中从并置 HDFS 或 NFS-mounted MapR 加载了表,则可以使用数据生成器将表保存回目标目录。
有关详细信息,请参见“SAS LASR Analytic Server: Reference Guide”中的 Data Encryption
上一页|下一页|页首
上次更新时间: 2018年10月24日